Как удалить дополнительные настройки реестра из политики домена по умолчанию?
По какой-то причине брандмауэр Windows был отключен в домене AD моего клиента. В отчете RSoP показано, что этот параметр взят из дополнительных настроек реестра в Политике домена по умолчанию .
Если бы это было в любом другом объекте групповой политики, я мог бы просто удалить его, но это Политика домена по умолчанию . На контроллере домена нет такого шаблона ADM / ADMX, который управляет этими ключами реестра, поэтому я не могу редактировать их с помощью редактора управления групповой политикой. (Возможно, у какого-то администратора в какой-то момент был один из них на внешнем компьютере с установленными средствами удаленного администрирования сервера.)
Каким будет правильный способ удалить эти настройки? Должен ли я найти и установить правильный шаблон ADM (X) или есть какой-либо ярлык? (Все настройки, которые мне действительно нужны, уже можно найти в Сеть \ Сетевые подключения \ Брандмауэр Windows \ , но при этом брандмауэр Windows остается отключенным для общедоступных и домашних сетей.)
Для этой проблемы с настройками брандмауэра Windows ...
Оказалось, что настройки, сделанные в Настройки Windows , не соответствовали шаблонам ADM (X).
Computer Configuration
|+ Policies
|+ Windows Settings
|+ Security Settings
|+ Windows Firewall with Advanced Security - LDAP://...
Здесь настройка свойств брандмауэра Windows для частного и общедоступного профиля на не настроен удаляет все остальное, кроме Software \ Policies \ Microsoft \ WindowsFirewall \ PolicyVersion из Дополнительные параметры реестра . (Теперь, конечно, здесь тоже можно настроить их по своему усмотрению.)
Это хорошо, поскольку я проверил windowsfirewall.admx во всех административных шаблонах в Windows Vista, Windows 7 и Windows 10;не было никаких настроек для профиля Private и Public : только для профиля домена и стандартного профиля . Если бы я не нашел это решение, мне пришлось бы использовать методы, описанные ниже.
Удаление дополнительных параметров реестра из политики домена по умолчанию в целом
Самый простой способ решить эту проблему - удалить соответствующий объект групповой политики. и воссоздайте его только с необходимыми настройками. Для политики домена по умолчанию это потребует некоторых дополнительных шагов:
- Распечатайте / сохраните отчет обо всех параметрах вашей политики домена по умолчанию GPO.
Восстановите объект групповой политики по умолчанию, используя Dcgpofix (только для домена, не для DC):
DCGPOFix / ignoreschema / target: DomainИзмените политику вручную, чтобы она содержала все параметры в отчете.
Другой способ - вручную создать новый административный шаблон , содержащий настройки для этих ключей реестра; .admx файлы представляют собой XML и их легко редактировать с помощью текстового редактора.
В этом случае для брандмауэра Windows можно было бы отредактировать windowsfirewall.admx :
Создайте две новые категории. (Я жестко запрограммировал
displayName, чтобы избежать изменения каких-либо.adml).
Скопируйте все (или только необходимые) дочерние объекты
policyизWF_Profile_Standard.При необходимости замените содержимое:
StandardнаPublic/Private:[12107 visiblekey="SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\... - Нет необходимости заменять любые
displayNames,manageTexts илипрезентации, поскольку они уже одинаковы для обеих существующих категорий.
Я бы рекомендовал использовать этот новый шаблон только временно и с клиентского компьютера, на котором установлены Инструменты удаленного администрирования сервера , вместо этого использовать его непосредственно на контроллере домена. Таким образом, это не вызовет тех самых проблем, которые вы пытаетесь решить с его помощью!
Как правильно удалить эти настройки?
Установите или просто используйте правильный шаблон (ы) ADM (X) там или на другом компьютере в этом домене. Как показано на снимке экрана, это Windows (Server) 2008, которая не может редактировать параметры реестра, такие как настройки групповой политики.